Relatório de inteligência sobre ameaças globais

Essas são as ameaças que a BlackBerry identificou e contra as quais se protege em sua própria base de clientes. 

Tipo: Infostealer

Metas: Produção de alimentos, sistema judiciário, educação

Regiões: APAC, NALA

O FormBook e sua evolução, o xLoader, são famílias de malware avançadas que funcionam como ladrões de informações e downloaders versáteis. Eles se adaptaram de forma consistente para burlar as defesas cibernéticas usando técnicas de máquina antivirtual (VM), injeção de processos e criptografia personalizada. Vendido como malware como serviço (MaaS), o xLoader pode extrair dados de navegadores, clientes de e-mail e vários aplicativos. Incidentes cibernéticos recentes envolvendo o xLoader/FormBook tiveram como alvo a produção de alimentos na região da APAC, bem como os setores de educação e justiça na NALA.

Tipo: Infostealer

Metas: Produção de alimentos

Regiões: APAC

O Snake Keylogger (também conhecido como 404 Keylogger e KrakenKeylogger) é um MaaS que utiliza um keylogger baseado em assinatura com uma infinidade de recursos. O malware pode roubar dados confidenciais e roubar credenciais de navegadores da Internet, além de registrar as teclas digitadas e capturar imagens da área de trabalho da vítima.

Inicialmente lançado em um fórum de hackers russo no final de 2019, o Snake Keylogger cresceu em complexidade, com maior diversificação de sua infraestrutura de comando e controle (C2) e a capacidade de criptografar suas cargas de malware. O malware também pode desativar serviços antivírus (AV) para que possa ser executado sem impedimentos. Seus métodos de exfiltração são excepcionalmente abrangentes, incluindo e-mail, FTP, SMTP, Pastebin (um site de armazenamento de texto) e o aplicativo de mensagens Telegram. Vale ressaltar que o Telegram foi responsável por 60 a 80% do tráfego total da Internet na Rússia em 2023 e fornece um ambiente de comunicação quase totalmente sem censura em um país onde o acesso a sites da Internet é rigidamente controlado.

Tipo: Downloader

Metas: Produção de alimentos, Sistema de justiça

Regiões: APAC

O GuLoader (também conhecido como CloudEyE) é um importante downloader que distribui malware adicional. Desde 2020, o grupo de ameaças por trás do GuLoader adicionou técnicas de antianálise para tornar mais difícil para os serviços de segurança identificar sua presença em um sistema ou implementar contramedidas. O GuLoader geralmente funciona em conjunto com outros malwares, como infostealers como FormBook, Agent Tesla e Remcos.

Tipo: Infostealer

Objetivos: Saúde, setor público, educação, produção de alimentos

Regiões: NALA, APAC

O RedLine é um infostealer frequentemente distribuído por meio de plataformas MaaS. Seus operadores são movidos principalmente por motivos financeiros, em vez de interesses políticos ou de espionagem, e empregam uma estratégia de ataque "dispersa", atacando todos os setores e regiões sem parecer se concentrar em alvos específicos.

Os pesquisadores da BlackBerry compilaram uma lista de ataques cibernéticos recentes e notáveis que ocorreram neste trimestre e foram divulgados pela mídia e por outras organizações de segurança cibernética. Nosso objetivo ao fazer isso é fornecer uma visão mais ampla do cenário de ameaças cibernéticas em infraestruturas críticas.

Em julho, o grupo de ameaças de ransomware Play (PlayCrypt) atacou duas organizações de energia: Texas Electric Cooperatives, uma associação que representa 76 cooperativas elétricas em todo o estado, e o 21st Century Energy Group, um fornecedor de vários serviços e produtos de energia na Pensilvânia e em Ohio. As violações resultaram em perdas de informações pessoais e dados contábeis e fiscais, alguns dos quais foram publicados no site de vazamento da Play logo em seguida.

Outro ataque em julho teve como alvo o Richland Paris Hospital, uma organização sem fins lucrativos da Louisiana que presta serviços essenciais de saúde à comunidade rural. Esse ataque foi perpetrado pelo grupo de ransomware Dispossessor, observado pela primeira vez em dezembro de 2023. O Dispossessor atua como um corretor de dados em vez de um grupo de ransomware tradicional. Em uma ação incomum, o Dispossessor lançou um vídeo mostrando mais de 100 páginas de informações confidenciais de pacientes. Em agosto, o FBI, trabalhando em conjunto com agências policiais locais e internacionais , anunciou que havia desmantelado a infraestrutura por trás do grupo Dispossessor.

Em meados de setembro, pesquisadores do Google observaram um grupo de espionagem cibernética chamado UNC2970, que se acredita estar ligado ao governo norte-coreano. Usando táticas de phishing, esse grupo se fez passar por várias empresas estabelecidas nos setores de energia e aeroespacial, criando falsos anúncios de emprego criados para atrair alvos específicos. Quando a vítima se envolvia com a isca, recebia um PDF com a "descrição da vaga" em um arquivo ZIP. Para abrir esse arquivo, os atacantes forneciam uma versão maliciosamente modificada do SumatraPDF. Quando executada, essa versão iniciava uma cadeia de execução facilitada pelo BURNBOOK, um lançador de malware criado em C/C++, que, por fim, implementava um backdoor MISTPEN. O MISTPEN é uma versão trojanizada do binhex.dll, um plug-in do Notepad++, que foi alterado para incluir um backdoor, comprometendo o computador do usuário-alvo.

Essas são as ameaças que a BlackBerry identificou e contra as quais se protege em sua própria base de clientes. 

Tipo: Infostealer

Objetivos: Comércio varejista e atacadista, serviços comerciais e profissionais

Regiões: APAC, NALA

Observado pela primeira vez em agosto de 2022, o LummaC2 (também conhecido como LummaC2 Stealer) é um infostealer, escrito na linguagem de programação C, que tem como alvo empresas comerciais e infraestruturas críticas. Com foco na exfiltração de dados confidenciais, ele é frequentemente promovido e distribuído por meio de fóruns clandestinos de crimes cibernéticos russos e grupos do Telegram. Esse potente infostealer é executado como uma operação de MaaS e geralmente depende de cavalos de Troia e spam de e-mail para se propagar.

Tipo: Infostealer

Metas: Bens de capital, serviços comerciais e profissionais

Regiões: APAC, NALA

O StealerC é um infostealer baseado em C projetado para roubar dados confidenciais de vários programas, navegadores da Web e clientes de e-mail antes de exfiltrar essas informações privadas de volta para o invasor. Observado pela primeira vez em 2023, o malware pode lançar outras cargas úteis de malware no dispositivo da vítima.

Tipo: Infostealer

Objetivos: Comércio varejista e atacadista, serviços comerciais e profissionais

Regiões: NALA, APAC

O FormBook (observado pela primeira vez em 2016) e sua evolução, o xLoader, são famílias de malware sofisticadas que operam como infostealers complexos e downloaders versáteis para malware adicional. Eles continuam evoluindo para burlar as defesas cibernéticas por meio de técnicas anti-VM, injeção de processos e rotinas de criptografia personalizadas. O xLoader pode roubar dados de navegadores e clientes de e-mail e executar uma ampla gama de outras ações. Como é vendido como MaaS, sua presença em um sistema ou rede não aponta necessariamente para nenhum agente de ameaça específico. Esse modelo operacional flexível permite que ele atinja uma gama diversificada de setores industriais em todo o mundo.

Tipo: Downloader

Objetivos: Comércio varejista e atacadista, serviços comerciais e profissionais

Regiões: APAC, NALA

O GuLoader (também conhecido como CloudEyE) é um importante downloader que distribui malware. Observadas pela primeira vez em 2020, as técnicas de antianálise do GuLoader tornam mais difícil para as equipes de segurança identificar ataques ou elaborar contramedidas. O GuLoader geralmente funciona em conjunto com outros malwares, como infostealers como FormBook, Agent Tesla e Remcos.

Tipo: Infostealer

Objetivos: Bens de capital, bens de consumo duráveis e vestuário, serviços comerciais e profissionais

Regiões: APAC, NALA

O RedLine é um malware infostealer amplamente distribuído, observado pela primeira vez em março de 2020 e frequentemente vendido como MaaS. O grupo de ameaças que distribui o malware parece ser motivado por ganhos financeiros em vez de política, destruição de dados ou espionagem. É por isso que o RedLine aparece constantemente em nosso radar, visando ativamente uma gama incomumente ampla de setores e regiões geográficas.

Tipo: Acesso remoto

Objetivos: Varejo e atacado, serviços comerciais e profissionais

Regiões: APAC, NALA

Remcos, abreviação de Remote Control and Surveillance, é um trojan de acesso remoto (RAT) de nível comercial usado para controlar remotamente um computador ou dispositivo. Embora seja anunciado como um software legítimo, ele é frequentemente usado de forma abusiva para obter acesso ilegal à máquina ou à rede da vítima.

Os pesquisadores da BlackBerry compilaram uma lista de ataques cibernéticos recentes notáveis, relatados pela mídia e por outras organizações de segurança cibernética, para fornecer uma visão mais ampla do cenário de ameaças cibernéticas para empresas comerciais.

Em julho, a Empereon Constar, uma empresa de terceirização de processos de negócios sediada no Arizona, sofreu uma violação por operadores do ransomware Akira que supostamente roubaram 800 GB de dados, incluindo informações de clientes, arquivos de funcionários e registros financeiros. O grupo emprega táticas de extorsão dupla, exigindo um resgate tanto para a descriptografia quanto para a não divulgação de informações confidenciais. Se não forem pagos, eles ameaçam publicar os dados roubados em sites de vazamento da Web superficial e da Web escura.

No final de julho, a Odyssey Fitness Center, na Pensilvânia, foi alvo do grupo de ransomware Play (também conhecido como PlayCrypt). O grupo de crime cibernético, responsável por mais de 300 ataques globais de ransomware, usou sua abordagem característica de dupla extorsão, criptografando os sistemas da academia de ginástica após a exfiltração de dados confidenciais.

No final de setembro, a varejista indiana de produtos eletrônicos Poorvika Mobiles foi alvo do grupo KILLSEC. A violação expôs uma grande quantidade de dados de clientes, incluindo nomes, endereços, números de telefone, IDs fiscais, detalhes de entrega de produtos, números de faturas, valores de transações e documentação fiscal.

Esta seção se aprofunda no mundo dinâmico das ameaças cibernéticas, começando com uma análise dos agentes de ameaças mais proeminentes.

Salt Typhoon O Earth Estries, Inc. (também conhecido como Earth Estries) é um agente de ameaças sofisticado, intimamente ligado ao Ministério de Segurança do Estado (MSS) da China, que surgiu sob os holofotes do público em 2024. O grupo comprometeu vários dos principais provedores de telecomunicações e provedores de serviços de Internet dos EUA, explorando backdoors em sistemas de ISP originalmente implementados para cumprimento de leis aprovadas por tribunais. O grupo demonstrou recursos avançados para manter a discrição a longo prazo, permanecendo, nesse caso, sem ser detectado nas redes de telecomunicações por mais de um ano.

Uma vez estabelecida a persistência na rede, oSalt Typhoon obteve acesso a dados abrangentes, incluindo as listas de escutas telefônicas de interceptação legal do Departamento de Justiça dos EUA, registros de chamadas, mensagens de texto não criptografadas, gravações de áudio e tráfego de Internet que flui pelas redes dos provedores. O fato de terem como alvo funcionários do governo e figuras políticas de alto nível dos EUA motivou medidas de resposta sem precedentes, incluindo uma reunião da Sala de Crise da Casa Branca com executivos de telecomunicações e avisos de agências federais sobre o uso de dispositivos móveis. Os membros do Congresso na Câmara e no Senado expressaram sérias preocupações sobre esses incidentes e solicitaram que os órgãos federais dos EUA fornecessem mais informações sobre os ataques. Leia a seção sobre segurança das comunicações para obter uma visão mais detalhada das ameaças à infraestrutura essencial.

O RansomHub (também conhecido como Cyclops e Knight) opera por meio de um modelo de RaaS e recentemente ganhou destaque significativo no cenário de ameaças. A eficácia e o sucesso desse modelo operacional atraíram vários afiliados conhecidos, como LockBit e ALPHV, que realizam infiltração de rede e exfiltração de dados.

O RansomHub opera por meio de uma abordagem de extorsão dupla. O grupo também emprega uma variedade de técnicas para desativar ou encerrar soluções de detecção e resposta de endpoints (EDR), permitindo que ele evite a detecção e mantenha uma presença prolongada em redes comprometidas. Desde seu lançamento em fevereiro de 2024, o RansomHub se expandiu rapidamente, visando e exfiltrando dados de mais de 210 vítimas em setores de infraestrutura crítica. Esse rápido crescimento o posicionou entre os operadores de ransomware mais prolíficos em termos de ataques reivindicados publicamente. Os setores atacados incluem:

Saúde e farmácia

• Atividade de ameaças: Ataques de ransomware direcionados contra provedores de serviços de saúde e farmácias
• Impacto notável: Violação da Rite Aid afetando 2,2 milhões de clientes (julho de 2024)
• Preocupações críticas: Roubo e exposição de dados confidenciais de pacientes, interrupção dos sistemas de gerenciamento de prescrição e comprometimento de informações de saúde protegidas (PHI)

Energia e indústria

• Atividade da ameaça: Ataques sofisticados direcionados à tecnologia operacional e aos sistemas comerciais.
• Impacto notável: Interrupção dos sistemas de TI de uma gigante dos serviços de petróleo e gás (agosto de 2024)
• Preocupações críticas: Interrupções nas operações comerciais, interrupções na cadeia de suprimentos, comprometimento do sistema de faturas e pedidos de compra

Serviços sem fins lucrativos e de saúde

• Atividade da ameaça: Campanhas de roubo de dados direcionadas a dados organizacionais confidenciais
• Impacto notável: Violação da Planned Parenthood Montana (setembro de 2024), resultando em roubo de dados confidenciais de pacientes e interrupção das operações
• Preocupações críticas: Exposição de informações confidenciais de pacientes, violações de privacidade e danos à reputação

O Play é um grupo de ransomware que surgiu pela primeira vez em junho de 2022. O Play comprometeu centenas de organizações de diversos setores na América do Norte, América do Sul e Europa, com seu foco principal nos EUA e no Canadá. Normalmente, o Play emprega táticas de extorsão dupla, ameaçando publicar dados roubados das organizações vítimas.

Para obter acesso inicial a um sistema ou rede de destino, o Play abusa de contas válidas e aplicativos vulneráveis voltados para o público em ambientes Windows. Depois de mapear as redes com ferramentas como o AdFind, eles se movem lateralmente com ferramentas como o PsExec e o Cobalt Strike, usando ferramentas adicionais como o Mimikatz para obter credenciais de administrador de domínio. Quando os dispositivos que contêm informações confidenciais são identificados, o grupo coleta os arquivos em arquivos .RAR e os exfiltra usando o WinSCP antes de finalmente criptografar os arquivos nos dispositivos saqueados.

Em julho, a Play foi observada usando uma nova variante Linux de seu ransomware que visa apenas arquivos executados em ambientes VMware ESXi.

O Hunters International, identificado pela primeira vez em outubro de 2023, tem semelhanças notáveis com o ransomware Hive. Quando os operadores do Hunters International adquiriram o malware e a infraestrutura do grupo Hive, eles se diferenciaram do Hive comercializando recursos aprimorados.

Suas operações se concentram principalmente na extorsão dupla, priorizando a exfiltração de dados e usando informações roubadas para pressionar as vítimas a fazer pagamentos de resgate. O grupo também emprega criptografia de arquivos usando ChaCha20-Poly1305 e RSA Optimal Asymmetric Encryption Padding (OAEP), resultando em arquivos marcados com a extensão ".LOCKED".

As cadeias de ataque típicas começam com campanhas de phishing ou com a exploração de uma vulnerabilidade. O grupo tem como alvo uma série de setores, incluindo manufatura, saúde e educação, adotando uma abordagem oportunista sem foco específico em nenhuma região ou setor em particular, comprometendo alvos na América do Norte, Europa e África. Uma ferramenta importante em seu arsenal é o SharpRhino, um backdoor disfarçado de software legítimo, usado juntamente com medidas agressivas para desativar sistemas de backup executando uma série de comandos e tentando encerrar serviços e processos específicos normalmente associados à recuperação do sistema.

No último trimestre, a Hunters International esteve realmente muito ativa, visando a todos os tipos de organizações, setores e regiões geográficas, ressaltando sua adaptabilidade e seu amplo potencial de ameaça. Eles são conhecidos por sua tática um tanto rancorosa de reinfectar as vítimas que conseguiram restaurar seus sistemas a partir de backups sem pagar o resgate, seja com uma segunda dose de seu próprio ransomware ou com uma variante diferente.

O Meow Leaks é um grupo de ameaças com possíveis vínculos com o grupo de ransomware Meow (também rastreado como MeowCorp e Meow2022) que surgiu em 2022 como uma variante do ransomware Conti. Esse novo grupo Meow, que surgiu no final de 2023, concentra seus esforços na venda de dados roubados por meio de um site homônimo baseado no Tor, o "Meow Leaks".

O Meow afirma não lidar com ransomware; o grupo declarou publicamente em uma entrevista que não está envolvido com a Conti e não tem nenhuma afiliação atual com a MeowCorp. Dito isso, é possível que esse novo grupo não tenha experiência no desenvolvimento de ransomware, uma teoria que se reflete em sua limitada lista de vítimas da dark web, que até agora se concentrou principalmente em alvos baseados nos EUA, embora tenha algumas vítimas internacionais. Isso os classifica principalmente como um grupo de ameaça baseado em extorsão, já que não podem contar com a criptografia dos dados originais para pressionar as vítimas a pagar.

Independentemente de suas conexões com o grupo inicial de ransomware, o novo grupo de ameaças Meow Leaks teve um pico significativo de atividade neste trimestre, conforme evidenciado por seu crescente site de vazamentos. Um descriptografador gratuito para as vítimas do MeowCorp chamado RakhniDecryptor foi lançado por pesquisadores de segurança em março. A ferramenta de descriptografia funciona para descriptografar arquivos com as extensões de arquivo .KREMLIN, .RUSSIA e .PUTIN. (Ataques anteriores da MeowCorp usando o criptografador baseado em Conti visavam inicialmente organizações russas).

A Qilin é uma RaaS, ativa desde 2022, que continua a visar o setor de saúde e vários outros setores em todo o mundo. Originalmente lançada como "Agenda" em julho de 2022, a operação foi rebatizada como "Qilin" e agora opera com esse nome.

O ransomware Qilin inclui variantes escritas em Golang e Rust e geralmente obtém acesso inicial a uma vítima por meio de ataques de spearphishing. O grupo utiliza ferramentas de monitoramento e gerenciamento remoto (RMM) e o Cobalt Strike para a implantação de binários. Durante um ataque, o Qilin localiza o controlador de domínio do alvo e executa um script de coleta de credenciais que visa especificamente as senhas armazenadas no Google Chrome para usuários autenticados. Conhecido por suas estratégias de extorsão dupla, o Qilin exige pagamentos de resgate para impedir a divulgação pública dos dados roubados.

Ferramentas como AnyDesk, PowerShell e Cobalt Strike são vitais para o gerenciamento de dados, testes de penetração e manutenção de sistemas. Sua flexibilidade e acessibilidade também as tornam ferramentas úteis para serem usadas indevidamente por agentes de ameaças.

O Microsoft PowerShell é um poderoso shell de linha de comando e uma linguagem de script projetada para automatizar tarefas e gerenciar sistemas Windows. Amplamente utilizada por administradores e profissionais de segurança em todo o mundo, ela oferece suporte à automatização de tarefas de rotina, ao gerenciamento de sistemas e às respostas a incidentes de segurança. No entanto, sua versatilidade também o torna um alvo de abuso por parte de invasores que podem explorar o PowerShell para obter acesso não autorizado e executar códigos mal-intencionados. O perigo real está na capacidade do PowerShell de executar scripts a partir do disco e diretamente na memória, permitindo ataques de malware "sem arquivo" que são difíceis de detectar.

Leia o relato da nossa equipe de MDR sobre um incidente com o PowerShell.

O Cobalt Strike funciona como uma estrutura sofisticada de simulação de adversários, meticulosamente projetada para replicar a presença persistente de agentes de ameaças em ambientes de rede. Estruturado em torno de dois componentes essenciais - um Agente (Beacon) e um Servidor (Team Server) - o Cobalt Strike orquestra uma interação perfeita. O Cobalt Strike Team Server, que funciona como um servidor C2 de longo prazo hospedado na Internet, mantém comunicação constante com as cargas úteis do Beacon implantadas nas máquinas das vítimas.

Embora o Cobalt Strike seja usado principalmente como uma ferramenta legítima para testadores de penetração e equipes vermelhas avaliarem a postura de segurança das redes, ele também foi explorado por agentes de ameaças para fins nefastos. Também ocorreram casos de vazamento de seu código on-line, o que levou à sua rápida transformação em arma por um conjunto diversificado de adversários. Essa natureza dupla destaca a importância da vigilância e de medidas robustas de segurança cibernética para atenuar os riscos associados ao seu uso indevido.

O WinSCP (Windows Secure Copy) é um cliente gratuito de código aberto para os protocolos SFTP, FTP, WebDAV e SCP, projetado para o Microsoft Windows. Ele facilita a transferência segura de arquivos entre computadores locais e remotos, aproveitando protocolos criptografados como o SFTP para garantir a segurança dos dados. No entanto, seus recursos também o tornam a ferramenta preferida dos agentes de ameaças. Os invasores podem usar o WinSCP para exfiltrar furtivamente grandes volumes de dados, fazer upload de malware para servidores-alvo para comprometer ainda mais o sistema e obter acesso remoto para executar comandos arbitrários ou implantar software mal-intencionado adicional, mantendo controle persistente sobre os sistemas comprometidos.

Em nossa seção CylanceMDR Threats and Mitigations (Ameaças e Mitigações ), nossa equipe CylanceMDR analisou as ferramentas mais comuns que poderiam ser usadas para exfiltração nos ambientes de nossos clientes. A equipe descobriu que o WinSCP representava 51% das ferramentas de exfiltração mais comumente utilizadas nos sistemas dos clientes.

Novas ameaças e grupos de ameaças estão em constante evolução e apresentam novos desafios. As organizações que pretendem proteger seus ativos digitais devem adotar uma estratégia abrangente de segurança cibernética, incorporando medidas robustas de mitigação juntamente com o treinamento dos funcionários. Aqui, exploramos várias estratégias importantes que podem ser implementadas para impedir ameaças cibernéticas como as apresentadas pelo grupo de ransomware Lynx.

A implementação da segmentação da rede é uma etapa fundamental para conter possíveis violações.

• Tática: Ao dividir a rede em segmentos distintos de acordo com uma política de classificação do sistema, as organizações podem criar pontos de estrangulamento que podem limitar a capacidade de manobra de um invasor, estendendo o tempo de proteção e criando mais oportunidades para a detecção do adversário.
• Exemplo: Um grande provedor de serviços de saúde frustra um ataque cibernético isolando os servidores de dados dos pacientes da rede de uso geral, garantindo que os dados essenciais permaneçam seguros mesmo que outras partes da rede sejam comprometidas.

As organizações devem manter cópias off-line atualizadas dos dados armazenados em uma infraestrutura de backup separada, inacessível a partir de redes primárias.

• Tática: manter uma infraestrutura de backup separada.
• Exemplo: Essa abordagem é adotada com sucesso por uma empresa global de manufatura que realiza regularmente instantâneos de dados e os armazena off-line, garantindo a integridade e a disponibilidade dos dados mesmo após um ataque de ransomware.

As organizações devem monitorar indicadores específicos; no caso de um ataque Lynx, monitore o aparecimento de extensões de arquivo como ".LYNX" ou a criação de arquivos denominados "README.txt", que é um nome de arquivo típico dado a notas de resgate.

• Tática: Os sistemas de alerta antecipado podem detectar padrões incomuns de transferência de dados ou modificações em massa de arquivos, permitindo uma resposta rápida a possíveis violações.
• Exemplo: Uma instituição financeira evita uma violação de dados significativa ao implementar a detecção e resposta de endpoints que sinalizou o acesso não autorizado aos seus sistemas de backup após o expediente.

O gerenciamento de acesso é uma prática de segurança focada no controle e no monitoramento do acesso a sistemas, recursos e dados dentro de uma organização. A implementação de um monitoramento abrangente do controle de acesso pode ajudar as organizações a detectar e evitar tentativas de acesso não autorizado a sistemas críticos.

• Tática: Implemente o registro detalhado de todas as tentativas de acesso a sistemas e dados confidenciais. Analise regularmente os registros de acesso em busca de padrões suspeitos. Implemente alertas automatizados para comportamentos de acesso incomuns. Mantenha listas de controle de acesso (ACLs) rigorosas com auditorias regulares das permissões de usuários.
• Exemplo: Uma empresa de serviços financeiros detecta e evita uma possível violação de dados identificando padrões de acesso incomuns por meio de seu sistema de monitoramento, que poderia sinalizar várias tentativas de login com falha de uma conta de usuário autorizado fora do horário normal de trabalho.

Um plano de resposta a incidentes (IR) bem definido permite que as organizações reajam de forma rápida e eficaz a incidentes de segurança cibernética, minimizando os possíveis danos e o tempo de recuperação.

• Tática: Desenvolva procedimentos detalhados de resposta a incidentes, estabeleça funções e responsabilidades claras, mantenha listas de contatos atualizadas para as principais partes interessadas e recursos externos (aplicação da lei, empresas de resposta a incidentes) e realize exercícios de mesa regulares para testar a eficácia da resposta.
• Exemplo: Uma empresa de manufatura pode conter um incidente de ransomware em poucas horas, seguindo seu plano de resposta a incidentes testado, que inclui procedimentos de isolamento imediato do sistema e canais de comunicação pré-estabelecidos com sua equipe de resposta a incidentes.

É fundamental avaliar a postura de segurança dos principais produtos com acesso à sua rede.

• Tática: Implemente um programa de gerenciamento de riscos da cadeia de suprimentos, uma prática de teste de segurança para produtos com acesso a sistemas críticos e analise regularmente as permissões de acesso de terceiros para reduzir os riscos da cadeia de suprimentos.
• Exemplo: Uma empresa farmacêutica poderia aumentar a segurança de sua cadeia de suprimentos realizando avaliações de segurança completas, garantindo que todos os parceiros aderissem a padrões rigorosos de segurança cibernética.

O uso de tecnologias avançadas de segurança, como soluções de EDR, filtragem de e-mail e lista branca de aplicativos em sistemas essenciais, pode melhorar significativamente a postura de segurança de uma organização.

• Tática: Estabelecer recursos contínuos de monitoramento de rede e caça a ameaças.
• Exemplo: Uma empresa de telecomunicações identifica e neutraliza uma ameaça persistente avançada (APT) por meio da caça proativa a ameaças.

A equipe de Pesquisa e Inteligência de Ameaças do BlackBerry analisou as seguintes técnicas MITRE frequentemente usadas por agentes de ameaças:

Virtualization/Sandbox Evasion (T1497) é uma técnica da tática Defense Evasion (TA0005). Essa técnica é usada para detectar ambientes virtualizados ou de sandbox normalmente empregados por soluções de análise de malware e detecção de ameaças. Ao identificar esses ambientes, os agentes mal-intencionados podem evitar a detecção interrompendo ou alterando o comportamento de sua carga útil, o que impede que as ferramentas de análise avaliem com precisão a ameaça.

Os invasores usam a técnica Virtualization/Sandbox Evasion para verificar se a carga útil está sendo executada em um ambiente de análise em vez de em um host original. Isso é fundamental para contornar a detecção e permite que o malware permaneça furtivo. A carga útil pode ser configurada para se comportar de forma diferente com base em verificações ambientais, executando apenas em configurações reais e evitando a ativação quando ambientes virtuais ou de sandbox são detectados.

Os indicadores comuns de que um adversário está presente podem incluir:

• Entradas de registro e artefatos de sistema associados a VMs.
• Dicas de configuração de hardware, como drivers de virtualização específicos ou limites baixos de recursos, que podem indicar um ambiente de sandbox.
• Processos ou caminhos de arquivos vinculados a ferramentas populares de sandboxing ou ambientes virtuais.
• Verificações do comportamento do sistema ou do tempo de atividade para detectar se o ambiente foi inicializado recentemente, uma característica comum das configurações de sandbox.

Os invasores geralmente empregam o PowerShell ou scripts em lote com verificações de sistema incorporadas para detectar condições virtualizadas. Abaixo está um exemplo de um comando do PowerShell usado para evitar a análise de sandbox, verificando a presença de uma VM:

Get-WmiObject -Class Win32_BIOS | Select-String "VMware|VirtualBox|Xen"

Se o comando retornar uma correspondência, o payload poderá alterar seu caminho de execução ou ser encerrado, evitando análises adicionais em um ambiente virtualizado.

Os aplicativos Electron são aplicativos de desktop criados com tecnologias da Web, como HTML, CSS e JavaScript. Eles são desenvolvidos na estrutura Electron, que combina o mecanismo de renderização do Chromium com o tempo de execução do Node.js.

Como os aplicativos Electron podem solicitar permissões de sistema significativas, um adversário pode explorar esse acesso para executar comandos ou scripts com os mesmos privilégios que o próprio aplicativo.

Os agentes de ameaças podem aproveitar a capacidade de executar comandos arbitrários para executar códigos mal-intencionados por meio de processos legítimos usando o System Binary Proxy Execution. Exemplo: chrome.exe --disable-gpu-sandbox --gpu-launcher="C:\Windows\system32\cmd.exe /c calc.exe" demonstra como a execução de proxy binário do sistema pode ser explorada. Ao usar a opção --disable-gpu-sandbox o agente da ameaça enfraquece a segurança do Chrome ao desativar o isolamento do processo. O sinalizador --gpu-launcher="C:\Windows\system32\cmd.exe /c calc.exe" permite que os adversários executem comandos arbitrários por meio do cmd.exe.

Outro exemplo é: teams.exe --disable-gpu-sandbox --gpu-launcher="C:\Windows\system32\cmd.exe /c ping google.com &&" que gera o cmd.exe como um processo filho para executar o comando arbitrário enquanto desativa o sandboxing da GPU, permitindo que o processo seja executado sem isolamento.

Durante a atualização mais recente do MITRE V15, a técnica original de System Script Proxy Execution (T1216) foi ampliada com uma nova subtécnica, identificada como T1216.002 e denominada SyncAppvPublishingServer. Essa subtécnica se enquadra na tática de Evasão de Defesa (TA0005) e é manipulada por adversários para fazer proxy da execução de comandos maliciosos do PowerShell.

O SyncAppvPublishingServer.vbs é um script legítimo do Visual Basic associado à Microsoft e à sua virtualização de aplicativos (App-V), que permite que o Windows virtualize aplicativos. O script SyncAppvPublishingServer.vbs é assinado pela Microsoft, o que lhe dá credibilidade. 

Os agentes mal-intencionados exploram essa subtécnica para contornar as restrições de execução do PowerShell e evadir os sistemas de detecção utilizando processos nativos e confiáveis, um método comumente conhecido como "viver da terra". Isso permite a execução do comando mal-intencionado enquanto se mistura às operações nativas do sistema.

Here is an example command line of how this can be invoked:
“SyncAppvPublishingServer.vbs "n; {Malicious PowerShell Command}"”